Lookout empfiehlt Workaround gegen Stagefright-Lücke in Android

Anwender mit ungepatchten Geräten - also vorerst fast alle - sollten bei Videos aus unbekannten Quellen vorsichtig sein und MMS Auto-Fetching abschalten. Lookout hat dazu Anleitungen für vier Messaging-Programme einschließlich Hangouts vorgelegt. Ein Angriff ist wahrscheinlich auch im Browser möglich.

Der Sicherheitsanbieter Lookout hat als Workaround zum Schutz vor der Stagefright genannten Android-Lücke vorgeschlagen, MMS Auto-Fetching abzuschalten. Da dies abhängig von der verwendeten Messaging-App unterschiedlich bewerkstelltigt werden kann, hat er Anleitungen für eine Anzahl von SMS/MMS-Programmen erstellt. Lookout-Kunden können sich auch direkt an den Support wenden.

Stagefright (Bild: Zimperium)Die vier abgedeckten Programme sind Google Hangouts sowie „Messages“, „Messaging“ und „Messenger“ unterschiedlicher Android- und Geräteversionen. Wer eine andere App für SMS und MMS einsetzt, kann zu einer von diesen – etwa Hangouts – wechseln und dort die Einstellungen anpassen. Android-Nutzer sollten allgemein bei Videos aus unbekannter Quelle vorsichtig sein, bis ihr Gerät einen Patch für die Lücke erhält – was abhängig vom Anbieter und dem Alter des Modells auch nie der Fall sein kann.

Allgemein bestätigt Lookout, dass die zunächst von Zimperium gemeldete Lücke Android 2.2 bis 5.1 zu betreffen scheint – also fast alle Android-Geräte, die heute im Einsatz sind. Ein Angriff sei offenbar nicht nur per MMS, sondern auch im Browser möglich.

Die Schwachstelle steckt in der Mediaplayer-Engine von Android namens Stagefright und wurde nach dieser auch benannt. Mit einer simplen MMS, die ein präpariertes Video enthält, lassen sich beliebige Daten stehlen. Je nach Messaging-App ist es nicht einmal nötig, es auch aufzurufen, weil etwa Hangouts Video-MMS standardmäßig bei Empfang dekodiert. Google wurde im April informiert. Die Forscher glauben, dass Stagefright bisher nicht ausgenutzt wird.

Gegenüber CNET bestätigte ein Google-Sprecher, man habe die Hersteller mit Patches ausgestattet. Wer von ihnen aber seine Geräte zu aktualisieren plant, wurde nicht kommuniziert. „Die Sicherheit von Android-Nutzern liegt uns am Herzen, weshalb wir schnell reagiert und Partnern Patches bereitgestellt haben, die für jedes Gerät passen. Die meisten Android-Geräte, vor allem neuere, haben diverse Techniken, um ein Ausnutzen solcher Lücken zu erschweren. Zudem gibt es unter Android eine Sandbox für Applikationen, die Nutzerdaten und andere Anwendungen vor Zugriffen schützt.“

Details zu der Lücke wird Zimperium auf der Konferenz Black Hat nennen. Sie beginnt am 1. August in Las Vegas. Exploits für die Lücke dürften im Anschluss nicht mehr lange auf sich warten lassen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

3 Kommentare zu Lookout empfiehlt Workaround gegen Stagefright-Lücke in Android

Kommentar hinzufügen
  • Am 29. Juli 2015 um 19:36 von Sch$$$ Spiel

    Wie zu erwarten war: Google lässt die Anwender im Stich. Die meisten Hersteller werden nichts (in einem Wort: NICHTS) tun, und das Problem hat der Android Kunde/Anwender. „Gegenüber CNET bestätigte ein Google-Sprecher, man habe die Hersteller mit Patches ausgestattet.“

    Ein Sch$$$ss Spiel, das wieder etliche Millionen Geräte als Schrott zurück lässt. Wer diesen Mist mitspielt, der ist selber schuld. Google wäscht seine Hände mal wieder in Unschuld, wie bei WebView. Nicht unser Problem. Ist das so? Das katastrophale Update Konzept ist von Google, und sie könnten mit den AGBs die Hersteller verpflichten kritische Updates zu liefern. Indes: beide haben ein anderes, gleiches Ziel, sie wollen neuere Geräte mit der neuesten Andeoid Version verkaufen. Soll der Kunde doch bluten.

    Perfide Strategie.

    Eigentlich wäre das DER Werbefaktor für Windows und Win Phone, aber die sind ja mit sich selber beschäftigt. Und schielen lieber in Ruchtung Apple, anstatt die Schwäche des Android Konzepts offensiv anzusprechen.

    Tja: so wird auch mit Win Phone nix werden.

  • Am 29. Juli 2015 um 22:42 von Judas Ischias

    @PeerH,
    schreib doch einfach unter „Deinem Namen“, es weiß doch eh fast jeder Leser dass Du dahinter steckst.
    Wieso stellst Du jetzt Google als Schuldigen hin?
    Google hat doch die Patches zur Verfügung gestellt, liefern müssen jetzt die Hersteller.
    Aber Hauptsache wirres Zeug schreiben und mal wieder gegen Google hetzen.

    • Am 2. August 2015 um 0:28 von Frank

      Weil Google für das miserable Konzept verantwortlich ist: dass sie das Fix bereitstellen, hilft niemandem, weil die Anwender nicht erreicht werden. Und das ist Googles Problem.

      http://iphone.appleinsider.com/articles/15/07/31/flabbergastingly-insecure-googles-android-is-the-new-flash

      Schlimmer als Flash, in der Tat. Flash kann man aktuell halten, bei all dem Mist. Android kann man kaum aktuell halten, außer, man kauft alle Monate wieder das aktuellste Gerät, oder hatte das Glück ein Gerät zu erwischen, das Updates kriegt.

      Die meisten Anwender gehen leer aus, und Google ist das egal. Google ist für das Konzept verantwortlich. Also müssen sie die Schläge einstecken.

      Sie lassen ja sogar zu, dass veraltete, mit ungefixten Sicherheitslücken Androiden als neu verkauft werden. Das ist schlimm.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *